[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Jue Mar 28 12:56:00 -03 2019

Ale,

Dejame ser explicito:

Hace años y años que se vienen haciendo campañas de marketing sobre
todas las virtudes de IPv6.

La discusión sobre "es mejor loggear en v6 que en v4" es mas de lo mismo.

Es irrelevante discutir cual de las dos cosas es mas linda o mas fea,
cuando la realidad es que, en aquellos casos en que debes hacerlo, estas
obligado a loggear en ambos protocolos. Y el protcolo que se utiliza
esta sobre el control del usuario, y no sobre el tuyo. Por lo que la
discusion no tiene demasiada practicidad.

Respecto a los numeros en si, uno siempre puede encontrar escenarios en
los cuales los numeros dan como a uno le gusta. Podes asumir NATeo con
direcciones y pool de puertos compartido, y hacer que el loggeo sea una
pesadilla.vPero tambien podes natear con pool de puertos asignado a cada
usuario, en cuyo caso el tamaño del log es menor en IPv4.

Las discusiones sobre IPv6 y v4 en general estan rodeadas de marketing
(implicito o explicito), en donde se termina intentando asignarle
virtudes a ipv6 que en la gran gran mayoria de los casos no existen, o
son terriblemente inciertas.

Al dia de la fecha, te diria mas bien que un buen y humilde objetivo es
intentar que ipv6 al menos funcione tan bien como ipv4. situaciones en
las cuales ello no ocurre.

Te menciono dos ejemplos, pero hay multiples:
* https://tools.ietf.org/html/draft-gont-6man-slaac-renum
*
https://searchnetworking.techtarget.com/tip/Ensuring-P2P-apps-dont-cause-network-performance-issues-with-IPv6

Fernando

On 28/3/19 12:17, Alejandro Acosta wrote:
> Fer..., sin ánimos de sonar antipáticomi último mensaje al respecto.
> 
> El 28/3/19 a las 11:25, Fernando Gont escribió:
>> Ale,
>>
>> On 28/3/19 11:00, Alejandro Acosta wrote:
>> [...]
>>>>> Si claro.., pero es como decir tienes que ir de Caracas a Buenos Aires,
>>>>> en uno voy a pie y en otro en avión. Tienes que ir.
>>>> En el ejemplo en cuestion, soy yo quien compra el pasaje.
>>> Fer..,. el punto no es quien compra el pasaje, el punto es que la ley te
>>> dice tienes que comprar tal pasaje..., y si, ciertamente uno sigue
>>> siendo a pie y otro en avión.
>> El punto es, en buena medida, quien compra el pasaje.
>>
>> Si el apsaje lo compras vos, tenes opcion. Si no lo compras vos, no la
>> tenes.
>>
>> Los ISPs tienen que soportar tanto IPv4 como IPv6. Y donde la ley se los
>> requiere, deben loggear tanto IPv4 como IPv6.
> 
> 
> Bingo !!.., y lo bueno es que no hay (o casi no hay) NAT66. That's it.
> 
> 
> Saludos,
> 
> 
> Alejandro,
> 
> 
> 
>>
>> Si un cliente del ISP tuviera IPv6, y se conectara a un sitio con IPv6,
>> el loggeo se realizaria en IPv6. Sin embargo, inclusive si el cliente
>> tuviera dual-stack, pero se conectara a un sitio IPv4-only, el loggeo
>> ocurrira en IPv4.
>>
>> Como usuario, puedo decidir si me conecto sobre IPv4 o sobre IPv6. Y si
>> sos mi ISP, y tengo ganas de joderte la vida, puedo conectarme a sitios
>> dual-stack via IPv4. Y vas a tener que loggear en IPv4.
>>
>> Google reporta un trafico del mas del 25% sobre IPv6. Sin embargo, los
>> niveles de despliegue de IPv6 para sitios en general (ver
>> https://www.lacnic.net/innovaportal/file/2578/1/mgarcia-fgont-ipv6-lac-updated-v3.pdf)
>> es muchisimo mas bajo. Y en todos esos casos vas a tener que loggear en
>> IPv4.
>>
>>
>> De ahi que la comparacion entre ipv4 e ipv6 en este sentido es bastante
>> superflua, y solo aporta para pensamientos del estilo "what
>> if..?"/"si.... entonces...".
>>
>>
>> El ISP va a loggear tanto IPv4 como IPv6. Y salvo que hagan cosas raras
>> (ejemplo "remueven registros A cuando el mismo dominio tambien tenia
>> AAAA"), no va a estar bajo su control que es lo que loggean.
>>
>>
>> Mas alla de eso, la comparacion en si depende de como se haga el NATeo.
>> Si compartis la misma IP y pool de puertos entre todos los clientes, esa
>> es la peor situacion, y obviamente vas a tener que loggear cada
>> conexion. POr el contrario, si asignas una IP y rango de puertos a cada
>> usuario, no necesitas hacer tal cosa.
>>
> 

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492